你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
在部署到 Kubernetes 环境之前,封闭式部署是评估容器映像是否符合安全规则的资格的重要做法。
安全规则定义了当在规定的资源范围内满足某些条件时需要执行的操作。 门控部署准入控制器会根据与资源范围相关的安全规则来检查容器映像及其漏洞发现工件。 准入控制器的操作由安全规则定义,可以是 审计(部署并创建供评审的安全警报),或 拒绝(不进行部署,并创建供评审的安全警报)。
多个安全规则可能会影响容器映像的部署。 对所有安全规则的条件进行评估时,应从最严重的漏洞到最不严重的漏洞依次进行。 评估在漏洞满足的第一个条件时停止,并执行安全规则所指定的动作。
先决条件
| 方面 | 详细信息 |
|---|---|
| 所需的环境要求 | * 应启用 Defender for Containers 计划。 * 必须在 Defender for Containers 计划下的 Azure 开关中激活 Defender 传感器。 * 此功能目前仅适用于 Azure AKS 和 Azure ACR 。 * AKS 必须处于 版本 1.31 或更高版本才能使用此功能。 |
| 所需的角色和权限 | * 订阅所有者权限。 * 群集所有者权限 |
| 支持的云 | * 仅适用于 Azure、商业云 |
局限性
- 如果在 MDVM 扫描漏洞评估之前部署镜像,则不会应用任何控制措施,镜像将被直接部署
- Kubelet 标识要求: 如果没有 kubelet 标识,则无法将自动安装应用于群集。 由于缺少 Pod 标识支持,不支持使用服务主体而不是标识的群集。
- 注册表支持: 目前仅支持使用 Azure Active Directory(Azure AD)身份验证的注册表。 客户需要启用机密访问。 可以使用 ARM 配置。
- OIDC 和工作负荷标识: 在安装期间,我们在群集上启用 OpenID Connect(OIDC)和工作负荷标识,并将联合凭据添加到 kubelet 标识。
- 代理删除: 不支持自动删除代理(Tivan 和 Gating)。 Tivan 表示,我们无法确定代理程序是由我们安装的,还是通过 CLI/ARM 安装的,因此我们不会删除它们。
- 多架构图像支持: 目前,不支持多架构映像。
后续步骤
- 了解如何启用 封闭式部署功能。
- 详细了解 Defender for Cloud 的 Defender 计划。
- 查看有关 Defender for Containers 的常见问题。